Используя предупреждение CISA AA22-187A, компания "Касперский" установила, что атрибуция недавних заражений Maui ransomware и DTrack принадлежит северокорейской группе Andariel (также известной как Stonefly или Silent Chollima). Касперский определил, что примерно за десять часов до развертывания Maui на первоначальной целевой системе, группа развернула на ней вариант хорошо известного вредоносного ПО DTrack, которому предшествовал 3proxy несколькими месяцами ранее.
Согласно данным Kaspersky Threat Attribution Engine (KTAE), вредоносная программа DTrack, полученная от жертвы, содержит высокую степень сходства кода (84%) с ранее известными вредоносными программами DTrack.
Основываясь на способе действия этой атаки, Касперский приходит к выводу, что TTP актора, стоящего за инцидентом с Maui ransomware, удивительно похожа на прошлую деятельность Andariel/Stonefly/Silent Chollima:
- Использование легитимных прокси- и туннельных инструментов после первоначального заражения или их развертывание для сохранения доступа, а также использование сценариев Powershell и Bitsadmin для загрузки дополнительных вредоносных программ;
- использование эксплойтов для атак на известные, но непропатченные уязвимые публичные службы, такие как WebLogic и HFS;
- эксклюзивное развертывание DTrack, также известного как Preft;
- Время пребывания в целевых сетях до начала активности может длиться месяцами;
- Развертывание программ-выкупов в глобальном масштабе, что демонстрирует постоянную финансовую мотивацию и масштаб интересов.
Indicators of Compromise
IPv4
- 145.232.235.222
URLs
- http://145.232.235.222/usr/users/dwem.cert
- http://145.232.235.222/usr/users/mini.ps1
- http://145.232.235.222/usr/users/mini.ps1)
MD5
- 2f553cba839ca4dab201d3f8154bae2a
- 5bc4b606f4c0f8cd2e6787ae049bf5bb
- 739812e2ae1327a94e441719b885bd19
- 87e3fc08c01841999a8ad8fe25f12fe4
- 95247511a611ba3d8581c7c6b8b1a38a
- ad4eababfe125110299e5a24be84472e
- cf236bf5b41d26967b1ce04ebbdb4041
- f2f787868a3064407d79173ac5fc0864
SHA1
- 102a6954a16e80de814bee7ae2b893f1fa196613
- 1c4aa2cbe83546892c98508cad9da592089ef777
- 94db86c214f4ab401e84ad26bb0c9c246059daff
- feb79a5a2bdf0bcf0777ee51782dc50d2901bb91
SHA256
- 60425a4d5ee04c8ae09bfe28ca33bf9e76a43f69548b2704956d0875a0f25145
- 6122c94cbfa11311bea7129ecd5aea6fae6c51d23228f7378b5f6b2398728f67
- 92adc5ea29491d9245876ba0b2957393633c9998eb47b3ae1344c13a44cd59ae
- a557a0c67b5baa7cf64bd4d42103d3b2852f67acf96b4c5f14992c1289b55eaa